2017年5月9日，最高人民法院和最高人民檢察院聯(lián)合發(fā)布了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（下稱《解釋》），對《中華人民共和國刑法》第253條之一所規(guī)定的“侵犯公司個人信息罪”的定罪量刑以及相關(guān)法律適用，給出了全面、明確、系統(tǒng)的規(guī)定。該《解釋》已于2017年6月1日起施行。

作為兩高首次就侵犯公民個人信息犯罪的具體定罪量刑標(biāo)準(zhǔn)出臺的司法解釋，隨著《解釋》的出臺，在企業(yè)經(jīng)營實踐中，一些長久以來為公眾所關(guān)注而又邊界模糊的問題，有了一個大致清晰的輪廓。

1. 個人信息究竟包括哪些內(nèi)容？

《解釋》第一條就開門見山的對“個人信息”進(jìn)行了列舉式的說明。簡單來說，公民的個人信息可分為兩類：一類是可以單獨(dú)用來識別特定自然人身份或者反映特定自然人活動情況的信息；另一類是在與其他信息結(jié)合后，可以用來識別特定自然人身份或者反映特定自然人活動情況的信息。大體上，公民的個人信息包括：姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。

2. 哪些情形可以視為《刑法》第253條所規(guī)定的“提供”與“非法獲取”公民個人信息？

就這個問題，《解釋》第三條除再次說明“向特定人提供公民個人信息”應(yīng)當(dāng)認(rèn)定為“提供公民個人信息”外，也明確規(guī)定了“通過信息網(wǎng)絡(luò)或者其他途徑發(fā)布公民信息的”，也應(yīng)當(dāng)被認(rèn)定為構(gòu)成刑法第253條之一所規(guī)定的“提供公民個人信息”。

同時，《解釋》第三條也明確規(guī)定了，即使是以合法方式收集的公民個人信息，在未經(jīng)被收集者同意的情況下，將該等信息提供給他人的（除經(jīng)過處理無法識別特定個人且不能復(fù)原的除外），也屬于刑法第253條之一規(guī)定的“提供公民個人信息”。

對于“非法獲取”公民個人信息，除了公眾通常熟知的“未經(jīng)被收集者同意，獲取其個人信息外”，《解釋》第四條也明確了“違反國家有關(guān)規(guī)定，通過購買、收受、交換等方式獲取公民個人信息”的行為，也屬于“以其他方法非法獲取公民個人信息”。

3. 定罪量刑標(biāo)準(zhǔn)如何？

對于一個罪名，公眾通常除了關(guān)注其行為構(gòu)成要件外，更加關(guān)注的是其定罪量刑的標(biāo)準(zhǔn)，尤其是對于“侵犯公民個人信息罪”來說，其入罪要件之一是“情節(jié)嚴(yán)重”。為了在案件處理中對“情節(jié)嚴(yán)重”有個相對客觀明確的標(biāo)準(zhǔn)，《解釋》從五個方面對“情節(jié)嚴(yán)重”進(jìn)行了定義：(1)公民個人信息類型以及數(shù)量；(2)違法所得數(shù)額的多少；(3)公民個人信息的用途；(4)侵犯公民個人信息的主體身份；(5)該主體有無前科。此外，關(guān)于“為合法經(jīng)營活動而非法購買、收受敏感個人信息之外的其他公民個人信息”，《解釋》也對其構(gòu)成“情節(jié)嚴(yán)重”的情形作了具體的規(guī)定。

而對于如何區(qū)分“情節(jié)特別嚴(yán)重”和“情節(jié)嚴(yán)重”，《解釋》也從兩個方面進(jìn)行了明確：(1)涉及信息的數(shù)量、違法所得的數(shù)額；(2)后果的嚴(yán)重性。

當(dāng)上述關(guān)注定罪量刑的具體標(biāo)準(zhǔn)明確之后，公眾關(guān)注的焦點(diǎn)就會投注在“實踐中如何規(guī)避法律風(fēng)險上”。身處于這個信息爆炸的時代，無論是個人還是企業(yè)，每天都被海量的信息（包括個人信息）所沖擊。而企業(yè)作為由人組成的集合體，在日常經(jīng)營中，就更不可避免的接觸到公民個人信息，也需搜集信息、核實信息，甚至開發(fā)信息的商業(yè)價值。例如，互聯(lián)網(wǎng)企業(yè)需要個人用戶在線注冊，注冊的過程中會獲取公民個人信息；在網(wǎng)約車等“互聯(lián)網(wǎng)+”的新業(yè)態(tài)行業(yè)中，企業(yè)除了獲取使用者的個人信息外，出于對不特定公眾利益的保護(hù)，對于服務(wù)提供者個體，企業(yè)有義務(wù)也有責(zé)任對其進(jìn)行個人背景信息的核查；即使是最傳統(tǒng)的企業(yè)，哪怕什么網(wǎng)絡(luò)通訊都不涉及，在招聘員工的時候也或多或少會遇到個人信息收集和核查的情形。那么，企業(yè)在日常經(jīng)營中，如果必須要接觸到公民個人信息，應(yīng)注意下列問題，以盡可能避免法律風(fēng)險。

首先，要明確企業(yè)收集、提供這些公民個人信息的目的不是為了謀取商業(yè)利益或是用于不合法的用途。明確了這個前提之后，我們再來討論企業(yè)可能會面臨的風(fēng)險點(diǎn)：

 1. 無論是企業(yè)自行收集個人信息，還是從第三方處獲取個人信息，都一定要獲得被收集者的同意?！巴狻钡男问?，法律上沒有明確的限定，電子的、書面的，甚至是口頭的都可以，但是該等“同意”必須被完整、適當(dāng)?shù)谋４?，以備今后加以佐證。

 2. 當(dāng)取得被收集者同意后，在收集的過程，如果信息提供者是被收集者以外的人員或機(jī)構(gòu)，企業(yè)應(yīng)注意該等人員或機(jī)構(gòu)是否有向企業(yè)提供被收集者個人信息的職權(quán)。如果在超越職權(quán)的情況下向企業(yè)提供了信息，那么即使有被收集者的同意，也依然存在“非法獲取”的風(fēng)險。如果企業(yè)又向該等信息提供者給付了金錢或利益，那么風(fēng)險將會顯著的增加。

 3. 當(dāng)企業(yè)合法的獲取了個人信息后，還應(yīng)注意對個人信息的保密。

除了上述較為常見的風(fēng)險外，對于某些提供信息核查或征信服務(wù)的企業(yè)來說，雖然在國外，個人征信服務(wù)是一種常見的商業(yè)服務(wù)，但是在中國，由于此類企業(yè)提供服務(wù)的目的本身就是為了商業(yè)利益，因此，如何界定其經(jīng)營行為的合法性，除了對法律條文、已有案例進(jìn)行解讀分析之外，很多時候還要結(jié)全其實際的經(jīng)營狀況，才能做出準(zhǔn)確的分析。不過由于《解釋》剛剛出臺且尚未施行，目前還沒有特別多的案例可供分析研究，但有一個可見的事實是，在《解釋》出臺后，的確是有很多從事此類服務(wù)的企業(yè)已經(jīng)暫停了相關(guān)的服務(wù)。

（此文為LexisNexis律商聯(lián)訊特約撰稿）

【責(zé)任編輯 劉耀堂（yaotangl@126.com）】